https://www.opennet.ru/openforum/vsluhforumID3/4581.html Опубликован перевод (http://www.bsdportal.ru/viewtopic.php?t=3322) руководства по уменьшению вредного воздействия от атак вида "отказ в обслуживании" (DoS) и диагностике источника проблем. Рекомендации применимы как для 4-ой, так и для 5-ой ветки FreeBSD.<br><br>Кратко:<br>- "sysctl -w net.inet.tcp.msl=7500" - максимальное количество времени ожидания ACK в ответ на SYN-ACK или FIN-ACK в миллисекундах;<br>- "sysctl -w net.inet.tcp.blackhole=2" - все пакеты на закрытый порт отбрасываются без отсылки RST;<br>- "sysctl -w net.inet.udp.blackhole=1" - отбрасывать пакеты для закрытых портов;<br>- "sysctl -w net.inet.icmp.icmplim=50" - защита от генерирование потока ответных пакетов, максимальное количество ICMP Unreachable и TCP RST пакетов в секунду;<br>- "sysctl -w kern.ipc.somaxconn=32768" - увеличение числа одновременно открытых сокетов;<br>- Сборка ядра с опцией DEVICE_POLLING.<br><br>URL: http://www.bsdportal.ru/viewtopic.php?t=3322<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=4600<br> https://www.opennet.ru/openforum/vsluhforumID3/4581.html#31 Thu, 24 Mar 2005 16:43:43 GMT вот это:<br>kern.ipc.somaxconn=32768 - <br>диверсия для FreeBSD 4.x максимум 32767<br> https://www.opennet.ru/openforum/vsluhforumID3/4581.html#30 Tue, 14 Dec 2004 00:18:19 GMT &gt;глюк?! <br>&gt;<br>&gt;выставил параметры как указано в статье, т.е. поставил <br>&gt;net.inet.tcp.msl=7500 <br>&gt;kern.ipc.somaxconn=32768 <br>&gt;<br>&gt;после этого перестали работать <br>&gt;unix sockets, и, соответственно, приложения их использующие..., а также перестал работать kavdaemon <br>&gt;:( после того как откатил на свои прежние настройки <br>&gt;net.inet.tcp.msl=30000 <br>&gt;kern.ipc.somaxconn=1024 <br>&gt;<br>&gt;все заработало... <br><br>Были аналогиные симптомы на 5.3 после сборки ядра с предустановленным kern.ipc.somaxconn=32768. <br>Ничего откатывать не стал, а используемые<br>drwebd и drweb-sendmail вылечил пересборкой и установкой последних версий из портов (4.32.2 и 4.32.1 соотв.)<br> https://www.opennet.ru/openforum/vsluhforumID3/4581.html#29 Sat, 06 Nov 2004 03:28:57 GMT &gt; Чего-чего?<br>&gt; Сссылочку мне сюда.<br>в следующий раз пойдёте в google сами.<br><br>&gt; С описанием сетевого адаптер, который сам считает чексуммы L3.<br><br>The industry's first fully offloaded TCP/IP Offload NIC:<br>http://www.adaptec.com/worldwide/product/prodtechindex.html?sess=no&language=English+US&cat=%2fTechnology%2fNAC<br><br>TSO и checksumming offload:<br>http://www.3com.ru/products/server_nics/3c996b-t/properties/<br>(специально для pppp - глянь, в твоём нелюбимом bge(4) целых 96Kb буферной памяти !)<br><br>&gt; Да, по поводу TCP segmentation offload - то же самое. <br>&gt; К *сетевому адаптеру* это имеет удаленное отношение.<br>:)<br><br>&gt; Всего лишь прослойка между адаптером и стеком. И не пакетов, а <br>&gt; фреймов, еще раз вам повторяю.<br>продолжайте изучать терминологию https://www.opennet.ru/openforum/vsluhforumID3/4581.html#28 Fri, 05 Nov 2004 17:08:02 GMT Да, по поводу TCP segmentation offload - то же самое. К *сетевому адаптеру* это имеет удаленное отношение. Всего лишь прослойка между адаптером и стеком. И не пакетов, а фреймов, еще раз вам повторяю. https://www.opennet.ru/openforum/vsluhforumID3/4581.html#27 Fri, 05 Nov 2004 17:00:53 GMT Чего-чего?<br>Сссылочку мне сюда. С описанием сетевого адаптер, который сам считает чексуммы L3. https://www.opennet.ru/openforum/vsluhforumID3/4581.html#26 Fri, 05 Nov 2004 16:34:36 GMT Циска для домашней сети, с практически нулевым бюджетом, что находишь из того и собираешь роутер :) , не подходит. Поэтому и ищутся способы добитсья насколько возможной скорости и стабильности на простых конфигурациях. Первая покупка уже наметилась: NTEL EtherExpress Pro 100+ (chip 82559).<br>"Чего только не придумают русские, что бы не покупать циску".<br>Щас попробую девайс поллинг поднять и проверить на картах rl... по манам там поддержка есть :) https://www.opennet.ru/openforum/vsluhforumID3/4581.html#25 Fri, 05 Nov 2004 11:27:07 GMT &gt;Спасибо за такой подробный овтвет! Еще небольшое уточнение: <br>&gt;1. т.е. выходит просто карты серии 3Ком905 не имеют аппаратного буфера? т.е. <br>&gt;и под линухом они хуже себя покажут? и FreeBSD здесь не <br>&gt;виновата? <br>Повторю ещё раз: мне кажется, что поллинг там не реализован; хотя всякое может быть. В любом случае мне не удалось обнаружить драйвера для 905 с его поддержкой.<br><br>&gt;2. Будет ли роутер: пень1, озу порядка 32-64Мб, сетевые Intel + device <br>&gt;polling, (2 сетки на 100Мбит) показывать работу на уровне аппаратного решения <br>&gt;или нужна более серьезная конфигурация? пентиму2 или п3... <br>&gt;Т.е. хватит ли такой конфигурации или при больших нагрузках будут провалы по <br>&gt;скорости? <br>Когда-то работал P-MMX + 64MB RAM с 3 сетевыми картами (кстати, 905-ми 3com ;)) без поллинга. На нём же и v35 сидел (128Кбит/с в Интернет). Здесь многое зависит от задач/настроек, а особенно от структуры трафика.<br>С аппаратным решением никакой pc на больших нагрузках не сравнится. Здесь дело не в вычислительной мощности (в данном сл https://www.opennet.ru/openforum/vsluhforumID3/4581.html#24 Fri, 05 Nov 2004 11:19:17 GMT &gt;2) Для тех девайсов которые умеют DMA/Bus mastering и дрова соответствующие. <br>&gt;При скидывании используется механизм похожий на страничную работу памяти. Одна страница передается, <br>&gt;вторая заполняется данными. После заполнения, странцы меняются местами. <br>Загвоздка в том, что сетевую карту никто не просит складывать данные в память; она это делает сама, причём в абсолютно непредсказуемые моменты времени...<br><br>&gt;3) Говорить что DMA разрабатывалось для флопов, а тем более музыкальных карт <br>&gt; это мягко скажем бред... тут стоит подучить архитектуру 8080 <br>&gt;и хронологию появлению устройств. <br>Я тогда ещё и в школу не ходил; и разве что S390 видел. Поэтому и не рассуждаю о том, чего никогда не видел (я о вычислительных устройствах на базе i8080)<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/4581.html#23 Fri, 05 Nov 2004 06:02:57 GMT глюк?!<br><br>выставил параметры как указано в статье, т.е. поставил<br>net.inet.tcp.msl=7500<br>kern.ipc.somaxconn=32768<br><br>после этого перестали работать<br>unix sockets, и, соответственно, приложения их использующие..., а также перестал работать kavdaemon :( после того как откатил на свои прежние настройки<br>net.inet.tcp.msl=30000<br>kern.ipc.somaxconn=1024<br><br>все заработало...<br>